Veel MSSP's . SIEMs en andere logboekbeheer / aggregatie / analyseoplossingen voor cybersecurityzichtbaarheid, maar is logboekanalyse voldoende? We horen steeds meer over holistische beveiligingsoplossingen zoals XDR platforms die claimen het hele aanvalsoppervlak te bestrijken, vooral omdat de laatste pijplijnaanval de samengestelde aard van de huidige geavanceerde meertraps cyberaanvallen heeft versterkt. De aanvallers gaven toe dat ze niet verwachtten dat hun aanval de pijpleiding zou afsluiten, maar het resultaat was verwoestend. Laten we even kijken wat we uit logboeken halen en wat we niet uit logboeken halen.
Boomstammen zijn van nature een blik in het verleden. Ze geven ons inzicht in de activiteit van bestands- en applicatieservers, gebruikersbeheersystemen zoals Active Directory, e-mailservers en andere tools. Als de logboeken correct zijn gecorreleerd en geanalyseerd, kunnen we weten of er afwijkingen optreden in deze systemen.
Maar hoe zit het met zero-day-aanvallen? Als er geen reputatie bestaat voor een ransomwarebestand, hoe detecteert u het dan? Het antwoord is dat u dit niet kunt doen totdat het zich in uw omgeving heeft verspreid tot het punt waarop het merkbaar is via meerdere waarschuwingen NADAT het een aanzienlijk deel van uw omgeving heeft geïnfecteerd.
Dus, hoe krijgen we deze grotere zichtbaarheid? Ten eerste moeten we, in plaats van alleen ruwe logbestanden te importeren, overwegen hoe we de beveiligingsmetadata uit die logbestanden van meerdere bronnen kunnen halen. Vervolgens moeten we die data vergelijken met meerdere dreigingsinformatiebronnen. Als er geen overeenkomst is met het bestand in de dreigingsinformatie, moet er een geautomatiseerde manier zijn om dat bestand met een sandbox te delen. Zodra de sandbox het bestand heeft geclassificeerd, moet die reputatie worden opgenomen in de gebeurtenis. Dit is waarom het idee van... XDR deze stappen samenvoegen tot een enig dashboard wordt zo'n hot topic - complexe aanvallen zijn niet gemakkelijk te zien met silo-teams en tools.
Uiteindelijk zou deze automatisering de workflow voor de aanzienlijk vereenvoudigen. SOC Analist. Ze zouden zich kunnen concentreren op gecorreleerde gebeurtenissen in plaats van te wachten tot situaties een aanzienlijk aantal waarschuwingen genereren voordat ze er aandacht aan besteden. Dit zal de MTTD (Mean Time To Detection) aanzienlijk verkorten. Gewapend met de juiste informatie kunnen ze ook snel handelen, waardoor de... MTTR.
Logboeken hebben hun plaats in cybersecurity vanuit het oogpunt van compliance. Maar als u alleen op logboeken vertrouwt voor analyse en herstel, mist u een grote kans om automatisering en zichtbaarheid tussen tools en detecties te gebruiken om uw beveiligingshouding te verbeteren en de kans op een aanval te verkleinen die uw bedrijfsactiviteiten aanzienlijk zou kunnen beïnvloeden.
Je kunt zien hoe MSSP's gebruikmaken van Stellar Cyber's "Open"-functionaliteit. XDR om inkomsten met hoge marges te genereren hier, of neem rechtstreeks contact met mij op via brian@stellarcyber.ai.
